모바일 포렌식 수집: 아이폰

https://youtu.be/uMezgE6W09w?si=OXwtoeEelGFTRGJq

아이폰 개요

  • 아이폰(iPhone)
    • 애플(Apple Inc.) 제품의 스마트폰 라인 (2007~)
    • 자체적 운영체제(iOS) 사용
    • 정기적 업데이트
      • 소프트웨어 및 기능, 보안 패치 및 버그 수정
    • 기능
      • 아이클라우드(iCloud), 에어드롭(Airdrop) → 다른 애플 기기와의 상호작용
    • 강력한 보안 및 개인 정보 보호
      • 하드웨어 수준 암호화 + Face/Touch ID
  • iOS 운영체제
    • 애플에서 개발한 모바일 운영체제
    • iOS 사용 기종
      • 아이폰(iPhone) 시리즈
    • 클라우드 서비스(iCloud)
      • 사용자 데이터 저장 및 동기화를 위한 서비스
      • iCloud를 통해 iOS 기기 간 데이터 공유 및 백업 가능
      • 단, 사용자가 iCloud 동기화 설정 가능

 

아이폰 데이터 수집

◆ 아이튠즈(iTunes) 활용

  • 애플의 기기 관리 프로그램
  • 미디어 관리 및 기기 동기화 기능 제공
  • 백업(Backup) 기능으로 데이터 수집(일부) 및 분석 가능
  • 수집 방법
    • 백업 버튼 누르면 아이튠즈 구동한 운영체제별로 파일 저장 경로에 데이터 백업됨
    • 파일 저장 경로 ↓
운영체제 경로
Windows C:\USERPROFILE\AppData\Roaming\Apple Computer\MobileSync\Backup
Mac OS Users\{username}\Library\Application Support\MobileSyncBackup
  • 백업 데이터 형태
    • SHA-1(기존 디렉터리 해싱한 값으로) 인코딩 된 파일명으로 저장
  • Info.plist 생성
    • 백업 관련 정보 저장된 로그 파일
  • 수집 가능 데이터
    • App Document
    • Camera Roll
    • Contacts
    • Call History
    • Messages
    • Notes
    • Voice Memos
    • Safari Bookmarks
    • Desktop
    • Settings
  • 아이백업봇(iBackupBot)
    • 백업한 데이터들을 보기 쉽게 해석해 주는 프로그램
    • 아이폰에 대한 정보, 백업 날짜, 백업 데이터를 보기 쉽게 표현

◆ 탈옥(Jailbreak)

  • iOS 윤영체제의 제한을 임의로 해제하는 행위
    • 안드로이드의 루팅(rooting)과 유사 개념
  • 효과
    • 일반 사용자 관점 → 블랙 마켓 설 및 앱 사용
    • 디지털 포렌식 관점 → 플래시 메모리 데이터 수집 및 분석
  • 버전별로 탈옥 가능 여부가 다름 (가능과 제한적 가능)
    • 제한적 가능: 버전 중 특정한 상황에서는 탈옥 불가하거나 특정 비트 운영체제, 특정 모델에서만 탈옥이 가능
  • 수집 방법
    1. AltStore 앱 설치
    2. 애플 공식 홈페이지에서 제공하는 사용자 설정 앱 설치 방법을 그대로 수행해 앱 실
    3. 대상 기기 AltStore 설치 후 컴퓨터에 AltServer 설치
    4. 대상 기기 unc0ver 다운로드(아이폰 사파리 앱 통해) 및 탈옥
    5. unc0ver의 버전이 아이폰의 버전과 호환되지 않는다면 탈옥이 비활성화됨. 버전 맞는 어플 사용 필요
    6. 자동 설치된 시디아(Cydia)를 이용해 OpenSSH 설치
    7. SSH 클라이언트 이용하여 접근, 컴퓨터와 아이폰 동일 네트워크 상 연결 (연결 최초 비밀번호는 alpine)
    8. 접근 후 dd 명령어를 통한 파일시스템 덤프
    9. 덤프 후 결과 → 파일시스템 획득 후 분석 가능
  • 한계점
    • 암호화
      • 강력한 데이터 암호화로 인한 데이터 접근 및 디바이스 해킹 어려움
      • 해제를 위해 사용자 패스코드 또는 Touch/Face ID 필요
    • 펌웨어 자체의 보안
      • iOS 보안 강화 및 주기적 업데이트 → 기기 무단 수정 및 해킹이 어려움
    • 디바이스 잠금
      • 여러 번의 해제 실패 경우 → 보안 기능 활성화 및 강화
    • Apple ID 연동
      • iCloud 백업과 연결된 아이폰 → iCloud 계정의 보안 기능도 추가 보호

'SWUFORCE > 모바일 포렌식' 카테고리의 다른 글

[모바일 포렌식] 모바일 포렌식 입문  (9) 2024.10.08
[고려대 정보보호대학원] 모바일 포렌식 분석  (1) 2024.10.01
[고려대 정보보호대학원] 모바일 포렌식 수집: 안드로이드Ⅱ  (0) 2024.10.01
[고려대 정보보호대학원] 모바일 포렌식 수집: 안드로이드Ⅰ  (2) 2024.10.01
[고려대 정보보호대학원] 모바일 포렌식 개요  (4) 2024.09.30

+ Recent posts

티스토리툴바